Immateriële schade als gevolg van data-inbreuken: het ondergeschoven kindje van de AVG

Dr. E.F.D. Engelhard
Bij schending van de Algemene Verordening Gegevensbescherming (AVG) geeft art. 82 AVG de benadeelde jegens de verwerkingsverantwoordelijke en jegens de verwerker recht op vergoeding van de materiële en immateriële schade. Hiermee biedt de AVG een zekere waarborg om de toegenomen vrijheid van gegevensuitwisseling en -opslag die het internet biedt, te beschermen. Maar wat in dit verband onder immateriële schade wordt verstaan, is verre van duidelijk en veelal is de schade bij AVG-schendingen van geringe omvang.
De focus in dit artikel ligt op immateriële schade. De centrale vraag luidt; op welke gronden en in hoeverre heeft de benadeelde recht op schadevergoeding voor immateriële schade respectievelijk het verlies van controle over zijn persoonsgegevens die/dat het gevolg is van data-inbreuken onder de AVG (waarbij wordt verondersteld dat aansprakelijkheid voor de inbreuk vaststaat).
De mogelijkheden tot het verkrijgen van schadevergoeding zijn inmiddels wat verruimd door de aanstaande inwerkingtreding van de collectieve schade actie en door het EBI-arrest over immateriële schade. Maar die ontwikkelingen ten spijt blijft het schadebegrip problematisch. Bij verdere invulling van het schadebegrip van art. 82 lid 1 AVG is in beginsel niet leidend in hoeverre schadebedragen preventief of afschrikwekkend kunnen zijn voor potentiële overtreders. Bij smartengeld zijn de aard en de ernst van de concrete normschending en de gevolgen daarvan beslissend alsmede de vraag welk schadebedrag met het oog op adequate rechtsbescherming van de burger opportuun is. Daartoe dient de schade concreet te worden onderbouwd. De toekomst moet uitwijzen hoe de toepassing van het EBI-criterium, mede gelet op de doelstellingen van de AVG, tot verfijning en differentiatie zal leiden. Niet valt te verwachten dat de Hoge Raad eenzelfde koers zal volgen als recentelijke in Lloyd/Google van het Engelse Court of Appeal. Dit betekent dat voor schadeclaims die enkel berusten op controleverlies van persoonsgegevens als gevolg van een AVG-schending ten minste is vereist dat daarbij concreet wordt onderbouwd tot welke monetaire schade dit heeft geleid. Hierin heeft de rechter de nodige vrijheid, die niet te vroeg aan banden moet worden gelegd en waarbij het juist belangrijk is een beter oog te krijgen op de casuïstiek dan thans nog het geval is.